今日のセキュリティ環境では、予算が限られ、攻撃面が広がり、新たな脅威が日々出現しています。大規模なチームや予算がなくても、強力なセキュリティ体制を維持することは大きな課題です。しかし、リーンセキュリティモデルは可能であるだけでなく、非常に効果的であることもあります。
イギリスの主要なファッション小売業者の一つであるRiver Islandは、少ないリソースで多くを成し遂げる方法についての強力なケーススタディを提供しています。River Islandの情報セキュリティ責任者であるSunil Patelと彼の3人の小さなチームは、200以上の店舗、eコマースプラットフォーム、大規模な流通センター、そして本社を守る責任を負っています。人員増加の見込みがない中で、Sunilはセキュリティを効果的に拡張する方法を再考する必要がありました。
Intruderのエクスポージャーマネジメントプラットフォームを活用したリーンセキュリティモデルを採用することで、チームは可視性を向上させ、脅威に迅速に対応し、ビジネス全体で最も重要な問題を解決する力を他の人々に与えることができました。
彼らのアプローチから学べる5つの重要な教訓を以下に紹介します。
1. 攻撃面の可視性を自動化する#
リーンセキュリティモデルは、外部の攻撃面を迅速かつ明確に理解する能力に依存しています。River Islandのチームは、インターネットに露出しているものを追跡するための中央の方法を欠いていました。インターネットに面した資産の単一で最新のビューがないため、スプレッドシートや手動のチェックに依存し、絶えず変化するインフラから生じる新たなリスクに追いつくのに苦労していました。
エクスポージャーマネジメントプロセスの一環として継続的なネットワーク監視を採用することで、チームは攻撃面の変化を自動的に検出できるようになりました。ログインページ、管理パネル、データベースなどの新しいまたは予期しないサービスがインターネットからアクセス可能になると、リアルタイムで通知されます。これにより、Sunilと彼のチームは露出しているもののライブで正確なビューを得ることができ、これらの露出した資産を自動的にスキャンして脆弱性を検出することが容易になります。
リーンなチームにとって最後に必要なのは、重複するツールの山です – 各々が少しずつしか機能せず、どれも十分に機能しない。
River Islandにはさまざまなセキュリティソリューションが導入されていましたが、多くは十分に活用されていませんでした。Sunilは、いくつかの製品から「可能な価値の5-6%しか得られていない」と推定しました。
新たに追加するのではなく、チームは統合を進めました。これにより、コンテキストの切り替えに費やす時間が減り、明確で統一されたインサイトに基づいて行動する時間が増えました。ツールキットが小さくなることで、リーンであるために不可欠な統合と自動化を構築しやすくなります。
3. 新たな脅威の検出を自動化する#
Log4jのような高プロファイルの脆弱性は、リーンなチームに大きなプレッシャーを与えます。重大な脆弱性が出現したとき、セキュリティを維持する能力は、どれだけ迅速に露出を評価できるかにかかっています。しかし、限られたリソースでこれを手動で行うのは非効率で持続不可能です。
Intruderのような統合されたエクスポージャーマネジメントプラットフォームは、新たに公開された重大な脆弱性を自動的にスキャンすることで、次の週次または月次スキャンを待たずに問題があるかどうかを確認できます。
この影響についてSunilは、「Log4jが発生したとき、CIOが影響を受けているかどうか尋ねてきました。私はすぐに『大丈夫です – Intruderがスキャンしていて問題ありません』と答えることができました」と述べました。
このレベルの保証は、リーダーシップとの信頼を築き、不要な緊急対応を避け、調査ではなく修正に集中するための時間をチームに与えます。
4. 資産所有者が迅速に問題を解決できるようにする#
リーンセキュリティモデルを採用する際の目標は、自分ですべてを修正することではなく、適切な人々が適切なことを迅速に修正できるようにすることです。それは、セキュリティチームをボトルネックから外し、他の人々が弱点を修正する力を与えることを意味します。
「私の目標の一つは、プロセスの観点からセキュリティチームを完全に方程式から外すことでした」とSunilは述べました。
以前は、情報セキュリティチームが資産所有者を追跡し、非セキュリティ専門家向けに技術的な推奨事項を翻訳する責任を負っていました。今では、エクスポージャーマネジメントプラットフォームをJiraと統合することで、脆弱性が関連するチームに直接ルーティングされ、行動を起こすために必要な簡単な指示が提供されます。
この変化により、情報セキュリティはより優先度の高いことに集中できるようになり、サービスデリバリーマネージャーが日常の修正を担当します。
Sunilは、「私たちはもううるさい管理者ではありません。ただ監視して、物事が進行していることを確認するだけです」と述べました。
5. サイバーハイジーンについて報告する#
リーンなセキュリティチームを運営しているとき、限られた時間を手動でレポートを作成したり、ステークホルダーに更新を伝えることに費やしたくはありません。しかし、可視性は依然として重要です – 特にリーダーシップレベルでは。
River Islandでは、アドホックな報告から、何が露出しているか、何が修正されたか、何がまだ注意を要するかを明確に示す自動化されたダッシュボードへの移行によって、その信頼が築かれました。
Sunilは、「CIOに『私との1対1のミーティングはあまりありませんね』と言ったら、彼は笑って『それは良いことだ – 何も壊れていないということだから』と答えました。Intruderは、私たちがカバーしているという自信を彼に与えてくれるので、彼はチェックインする必要がありません。それが物事がうまくいっている証拠です」と述べました。
小さなチーム、大きな影響#
リーンであることは、力不足であることを意味しません。適切なツール、プロセス、マインドセットを持つことで、どのような規模のセキュリティチームでもスケーラブルで、強靭で、効率的な運用を構築できます。River Islandの経験は、少ないリソースで多くを成し遂げることが可能であるだけでなく、セキュリティに対するより賢く、持続可能なアプローチであることを示しています。
より少ないリソースで多くを成し遂げるプレッシャーを感じていますか?14日間の無料トライアルでIntruderを試してみてください。
翻訳元: https://thehackernews.com/2025/06/how-to-build-lean-security-model-5.html